Project

General

Profile

Support #28147

Utilisateurs LDAP en double

Added by Clément Véret 5 months ago. Updated 3 months ago.

Status:
Information nécessaire
Priority:
Normal
Category:
LDAP
Target version:
-
Start date:
19 Nov 2018
Due date:
% Done:

0%

Patch proposed:
No
Planning:
No

Description

Bjr,

Nous avons régulièrement des utilisateurs qui se retrouvent en double dans la base de données Authentic2 (voir exemple ci-joint).

Nous soupçonnons ces utilisateurs en doublon d'avoir été déplacés d'une OU à une autre (mais nous n'avons pas eu de confirmation ferme sur ce sujet).

Ce comportement est-il connu ou normal ? Le DN LDAP sert-il de clé à un endroit ou à un autre dans Authentic2 ? Si oui, existe-t-il une option pour changer ce comportement ?

Merci d'avance.

2018-10-10-120008_1696x113_scrot.png View - compte en double (22 KB) Clément Véret, 19 Nov 2018 03:38 PM

29271

History

#1 Updated by Benjamin Dauvergne 5 months ago

La clé utilisée pour dédoublonner les comptes LDAP dépend de la configuration, il y a longtemps c'était le DN mais désormais c'est l'uid/samaccountname. Il faut d'abord regarder dans quel cas vous vous trouvez.

#2 Updated by Clément Véret 5 months ago

Benjamin Dauvergne a écrit :

La clé utilisée pour dédoublonner les comptes LDAP dépend de la configuration, il y a longtemps c'était le DN mais désormais c'est l'uid/samaccountname. Il faut d'abord regarder dans quel cas vous vous trouvez.

Ça correspondrait à ça :

"external_id_tuples": [["samaccountname"], ["dn:noquote"]],

?

Si c'est le cas, je peux mettre n'importe quoi comme champs LDAP dedans ?

#3 Updated by Benjamin Dauvergne 5 months ago

Clément Véret a écrit :

Benjamin Dauvergne a écrit :

La clé utilisée pour dédoublonner les comptes LDAP dépend de la configuration, il y a longtemps c'était le DN mais désormais c'est l'uid/samaccountname. Il faut d'abord regarder dans quel cas vous vous trouvez.

Ça correspondrait à ça :

"external_id_tuples": [["samaccountname"], ["dn:noquote"]],

Tout à fait.

Si c'est le cas, je peux mettre n'importe quoi comme champs LDAP dedans ?

Oui mais normalement pour un simple changement d'OU samaccountname aurai du suffire, attention ça ne dédoublonne que pour un seul "realm", si tu as deux configurations LDAP qui présentent les mêmes identifiants, il faut que les clés "realm" soient égales (et donc la clé réelle pour un utilisateur c'est le couple "realm" + la construction "extenal_id_tuples"), tu peux aussi passer par objectGUID sur AD ou entryUUID sur OpenLDAP et dérivés (mais sur OpenLDAP si ce n'est pas de la réplication native je ne pense pas que ça marche).

#4 Updated by Benjamin Dauvergne 3 months ago

  • Assignee changed from Benjamin Dauvergne to Clément Véret
  • Status changed from Nouveau to Information nécessaire

Est-ce que ce souci est corrigé ?

#5 Updated by Clément Véret 3 months ago

Benjamin Dauvergne a écrit :

Est-ce que ce souci est corrigé ?

Pas tout-à-fait. Nous pensions que le souci était uniquement lié à la clé (et c'est effectivement vrai pour les gens qui changent d'OU dans les différents annuaires fédérés et donc de DN), mais nous avons un nouveau cas : les personnes utilisant Internet Explorer (11 ou Edge) peuvent valider plusieurs fois le formulaire de login (et créer des doublons du coup).

Ça fait nettement moins de cas (les mouvements d'annuaire sont plus fréquents que les double-validation du formulaire de login), mais ça arrive quand même.

Also available in: Atom PDF